Panne d’Internet : sites, utilisateurs et entreprises affectés

Un important certificat de sécurité a expiré ce 30 septembre et a perturbé l’accès à Internet de nombreux utilisateurs et sociétés à travers le monde.

Vous ne l’avez probablement pas remarqué, mais Internet a connu un événement majeur ce jeudi 30 septembre. En effet, comme nous vous en avertissions il y a quelques jours, le certificat « DST Root CA X3 » de l’autorité de certification Let’s Encrypt a expiré à 16h ce jeudi. Un certificat nécessaire pour se connecter à un grand nombre de sites internet.

Dans les faits, seuls les appareils plus anciens ou non mis à jour depuis longtemps étaient susceptibles d’être affectés par cette expiration. Quelques parades ont été trouvées par Let’s Encrypt pour tenter de réduire l’impact de l’arrêt de ce certificat, mais cela n’a pas empêché des problèmes de se produire.

Des pannes difficiles à anticiper

Malgré les nombreux avertissements sur la toile, le certificat a expiré le 30 septembre à 16h et un grand nombre d’internautes, site et services à travers le monde ont commencé à rencontrer des problèmes.

L’entreprise de sécurité Fortinet et la plateforme commerciale Shopify signalent par exemple des problèmes après l’expiration du certificat de Lets Encrypt. Shopify indique que les commerçants et les entreprises partenaires ont rencontré des difficultés à se connecter pendant quelques heures. Fortinet de son côté a pu trouver une solution temporaire : « Nous communiquons directement avec les clients et avons fourni une solution de contournement temporaire », a déclaré la société dans un communiqué. « De plus, nous travaillons sur une solution à plus long terme pour résoudre ce problème de bord directement dans notre produit. »

Scott Helme, le chercheur en sécurité qui avait mis internet en garde contre l’expiration de ce certificat et ses conséquences, a déclaré à ZDNet qu’il avait répertorié des problèmes chez Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify et Cloudflare Pages. Il a indiqué que d’autres sociétés pourraient également avoir été touchées.

« Pour les entreprises concernées, ce n’est pas comme si tout était en panne, mais elles ont certainement des problèmes de service et des incidents sont ouverts avec le personnel qui travaille à les résoudre », explique Scott Helme. « J’en parle depuis plus d’un an, mais c’est un problème difficile à identifier. C’est comme chercher quelque chose qui pourrait provoquer un incendie : ce n’est vraiment évident que quand on voit la fumée ! »

Des utilisateurs de Google Chrome ont également rapporté des difficultés de connexion sur d’anciens appareils, obtenant des messages d’erreur « Votre connexion n’est pas privée ». Let’s Encrypt recommande face à ce type de problème d’utiliser le navigateur Firefox, qui dispose de ses propres certificats, et qui permet de contourner le problème.